Samsam Ransomware收获5.9M美元并计数
根据安全公司Sophos的一份报告,Samsam Ransomware拥有约59米的成本受害者组织约59米,但只有37%的受害者已经公开了公众。
Samsam的顶级目标 - 也称为萨姆斯 - 包括媒体,在医疗保健,教育和政府的大型公共部门组织以及经营受到重大影响的大型私营部门组织。
Sophos于2015年12月出现后,索菲斯在其出现之后迅速进行了一项长期调查,以便在2015年12月出现后,了解这一“相对独特的”威胁的性质。
到目前为止,大多数袭击已经在美国(74%),其次是英国(8%),加拿大(5%),比利时(6%),澳大利亚(2%)和荷兰,丹麦,爱沙尼亚,阿拉伯联合酋长国和印度,每次1%。
虽然所有已知的政府组织受害者都公布了攻击,但P医疗保健行业的P降至79%,教育部门达到38%。
“我们相信可能有数百人更多的受害者没有公开的声明,但我们不知道他们是谁,”Sophos的研究人员表示,许多受害者发现他们无法充分或快速恢复,以确保他们的业务连续性根据对追踪比特币钱包的赎金支付的分析,他们拥有自己,并且不情愿地支付了64,000美元的奖金。
付款由Bitcoin的受害者通过黑色Web上的自定义“付款网站”,为每个受害者组织具有唯一的地址。研究人员说,付款网站允许Samsam攻击者与受害者直接与受害者进行交互,他们说。
研究人员发现,攻击方法是令人惊讶的手册。因此,如果需要,攻击者可以采用对策,并且令人惊讶地擅长逃避许多安全工具。
如果加密数据的过程中断,则恶意软件会全面删除本身的所有踪迹,以妨碍调查。
研究人员表示,SAMSAM是一个特别彻底的加密工具,不仅渲染数据文件无法使用,还渲染运行应用程序所需的配置和数据文件,其中大部分都不是常规备份。
结果,恢复可能需要重新映像和/或重新安装软件,以及还原备份。
研究人员说,攻击者非常擅长覆盖他们的曲目,似乎越来越偏执狂,逐渐增加了更多的安全功能,进入了所用的工具和网站,并非常注意混淆方法并删除任何证据对调查人员来说可能有用。
研究人员表示,每次随后攻击都表明了复杂性的进展情况,并提高了如何逃避运营安全的意识,并提出要求所需的赎金数量也在增加,并且攻击的节奏显示没有减速的迹象。
Sophos调查显示,许多SAMSAM攻击从网络内部的机器的远程桌面妥协开始。还已知攻击者在易受攻击的计算机上部署漏洞以执行远程代码执行。
攻击者在攻击机器上维护存在,同时扫描内部网络,并使用通常用于系统管理或渗透测试的传统开源和商业工具来窃取密码,将ransomware安装程序移动到域管理员计算机,然后将ransomware推向连接的工作站。
与许多赎金软件攻击不同,SAMSAM攻击不源于传统的恶意垃圾邮件或通过下载攻击。研究人员说,每次攻击都是针对性网络的手动闯入。
在收到全额付款后,SAMSAM攻击者将密码发电器移动到一个翻转器和混合器的系统,这些系统通过多个微交易将比特币来源劳动。
Sophos研究人员表示,虽然有“没有银子弹”,但积极和分层的安全模型是最佳实践,并且有几点基本的安全措施可以阻止SAMSAM。因此,建议组织:
限制对远程桌面协议(RDP)使用的端口3389的访问,仅允许使用虚拟专用网络(VPN)的人员能够远程访问任何系统。完整的常规漏洞扫描和整个网络的渗透测试。部署多因素身份验证(MVA)以用于敏感的内部系统。创建脱机和异地的备份,并开发一个涵盖恢复数据和整个系统的灾难恢复计划。执行严格和勤奋的软件安全更新。使用锁定功能和防爆保护实现特定于服务器的安全性。使用凭据盗窃保护实现端点和服务器安全性。改进密码策略以鼓励员工使用安全密码管理器,更长的密码和多个帐户的密码的不使用。使用Censys或Shodan等第三方工具进行定期评估,以识别和关闭组织的公开IP地址空间的公开访问的服务和港口。进行定期网络钓鱼测试和员工教育。